In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Jordy Kersten
Beveilig je draadloze netwerk (goed)
Zoals wellicht bekend zijn er veel kwetsbaarheden in de beveiliging van draadloze netwerken. Het grootste probleem bij een draadloos netwerk is dat er geen "harde grenzen" zijn tot waar het netwerk reikt. Hierdoor is de kans groot dat het interne netwerk toegankelijk is vanaf bijvoorbeeld de parkeerplaats of het gebouw aan de overkant van de straat. Dit geeft aanvallers de mogelijkheid om ongestoord aanvallen uit te voeren op de beveiliging van het draadloze netwerk. In sommige gevallen zijn door slechte beveiliging slechts enkele minuten nodig om toegang te krijgen tot het draadloze netwerk.
Indien een aanvaller toegang krijgt tot het draadloze netwerk heeft kan deze aanvallen uitvoeren op de systemen die aanwezig zijn binnen dit netwerk. Ook kan het draadloze netwerk door aanvallers misbruikt worden om anoniem toegang te krijgen tot het internet. Vanuit hier kan bijvoorbeeld spam verstuurd worden of een zogenaamd botnet beheerd worden.
Indien dit bekend wordt leidt deze informatie terug naar de beheerder/eigenaar van het draadloze netwerk. In dit geval kan de verbinding bijvoorbeeld afgesloten worden, en in het ergste geval leiden tot verdenking van strafbare feiten.
WEP
De eerste vorm van beveiliging van het draadloze netwerk is WEP. Dit was de eerste beveiligingsstandaard die aangeboden werd om het draadloze verkeer te versleutelen. De techniek achter deze versleuteling is inmiddels gebroken en het gebruikte wachtwoord om een verbinding met een dergelijk netwerk op te zetten kan eenvoudig achterhaald worden door het simpelweg afluisteren van het verkeer. Het gebruik van een sterke of zwakke sleutel maakt in dit geval niet uit.
Een aanval op deze beveiligingsmethode kan binnen enkele minuten succesvol worden uitgevoerd waardoor de aanvaller binnen enkele minuten toegang verkrijgt tot het interne netwerk. Het advies is dan ook om direct over te stappen naar een veiligere standaard.
WPA
WPA is de opvolger van WEP. Nadat bekend werd dat de beveiliging van WEP was gecompromitteerd is deze standaard beschikbaar gekomen. Omdat de techniek niet stil staat en de toegang tot systemen met veel rekenkracht en clouddiensten meer beschikbaar zijn geworden voor gebruikers heeft ook WPA inmiddels verschillende bekende kwetsbaarheden waardoor ook deze beveiligingsmethode achterhaald is.
Dit heeft met name te maken met het gebruikte versleutelingsalgoritme dat te zwak is. Dit heeft tot gevolg gehad dat er een keuze is gemaakt om de beveiligingsmethode te blijven gebruiken en alleen het gebruikte versleutelingsalgoritme te vervangen door een sterkere variant. Deze opvolger heet WPA2. Het advies is dan ook om altijd voor de WPA2 variant te kiezen.
WPA2
WPA2 komt in twee vormen, namelijk WPA2-Personal en WPA2-Enterprise. Zoals de naam al aangeeft is WPA2-Personal bedoelt voor thuisgebruik en is WPA2-Enterprise geschikt voor zakelijk gebruik, ofwel het beheren van toegang voor een groot aantal systemen. We behandelen beide vormen waarbij we bij elk ervan advies geven over de benodigde instellingen om een zo veilig mogelijk draadloos netwerk op te zetten.
WPA2-Personal
WPA2 is op dit moment de sterkste variant die gebruikt kan worden om een draadloos netwerk te versleutelen. Het advies is dan ook om bij het beveiligen van een draadloos netwerk altijd voor WPA2 te kiezen. Let echter wel op dat er gekozen wordt voor het AES versleutelingsalgoritme, aangezien het alternatief, het TKIP versleutelingsalgoritme, ook bekende kwetsbaarheden bevat waardoor het gebruik hiervan wordt afgeraden. Op het moment is WPA2-Personal alleen kwetsbaar voor een zogenaamde brute-force aanval, waardoor het zeer belangrijk is om een goede, sterke passphrase te kiezen.
Het kiezen van een lang wachtwoord met gebruik van hoofdletters en speciale tekens verlengt de doorlooptijd van een dergelijke aanval aanzienlijk. Echter is door de komst van systemen met veel rekenkracht en het gebruik van clouddiensten ook deze methode in gevaar. Op dit moment is er echter geen alternatief waardoor de beveiliging van het draadloze netwerk afhangt van de sterkte van de gekozen passphrase.
WPA2-Enterprise
WPA2-Enterprise is een alternatief dat gebruikt kan worden voor het beheren van een draadloos netwerk waar veel systemen toegang tot dienen te krijgen. Door gebruik te maken van certificaten en een aparte authenticatie-methode kunnen gebruikers toegang verkrijgen tot het draadloze netwerk. Vaak wordt hiervoor gebruik gemaakt van de logingegevens van het systeem of uit de active directory. Voor de authenticatie wordt over het algemeen gebruik gemaakt van een RADIUS server. Echter bevat ook deze methode verschillende kwetsbaarheden.
Zo is het mogelijk om een zogenaamd roque access point op te zetten, waarmee het mogelijk is om de logingegevens af te vangen. Dit kan echter voorkomen worden door het systeem of apparaat dat verbinding maakt met met draadloze netwerk server-certificaat controle af te laten dwingen. Wanneer deze niet overeenkomt met het ingestelde certificaat zal deze geen verbinding maken met het roque access point van de aanvaller, waardoor deze geen logingegevens kan bemachtigen.
Conclusie
De conclusie die getrokken kan worden is dat op het moment geen van alle beveiligingsmethodes een volledige bescherming biedt van het draadloze netwerk. Het kan echter wel zo geconfigureerd worden dat het niet meer interessant is voor aanvallers om er de benodigde tijd in te steken en de kans groot is dat deze een nabijgelegen draadloos netwerk kiezen dat minder goed beveiligd is.
Samenvatting:
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Deze posting is gelocked. Reageren is niet meer mogelijk.